د لینکس توزیع Bottlerocket 1.2.0 خوشې کول شتون لري ، د جلا شوي کانټینرونو اغیزمن او خوندي لانچ لپاره د ایمیزون ګډون سره رامینځته شوی. د توزیع وسیلې او د کنټرول برخې په زنګ کې لیکل شوي او د MIT او Apache 2.0 جوازونو لاندې ویشل شوي. دا په ایمیزون ECS، VMware او AWS EKS Kubernetes کلسترونو کې د Bottlerocket چلولو ملاتړ کوي، په بیله بیا دودیز جوړونه او نسخې رامینځته کوي چې د کانټینرونو لپاره د مختلف آرکیسټریشن او د چلولو وسیلو کارولو ته اجازه ورکوي.
توزیع یو اټومي او په اتوماتيک ډول د نه ویشل شوي سیسټم عکس چمتو کوي چې پکې د لینکس کرنل او لږترلږه سیسټم چاپیریال شامل دي ، پشمول یوازې د کانټینرونو چلولو لپاره اړین برخې. په چاپیریال کې د سیسټمډ سیسټم مدیر، د ګلیبیک کتابتون، د بلډروټ جوړونې وسیله، د GRUB بوټ لوډر، د خراب شبکې ترتیب کوونکی، د جلا شوي کانټینرونو لپاره د کانټینرډ چلولو وخت، د Kubernetes کانټینر آرکیسټریشن پلیټ فارم، aws-iam-authenticator، او Amazon شامل دي. د ECS ایجنټ.
د کانټینر آرکیسټریشن اوزار په جلا مدیریت کانټینر کې راځي چې د ډیفالټ لخوا فعال شوي او د API او AWS SSM اجنټ له لارې اداره کیږي. د بیس عکس د کمانډ شیل ، SSH سرور او تشریح شوي ژبې نلري (د مثال په توګه ، نه Python یا Perl) - اداري اوزار او د ډیبګ کولو وسیلې په جلا خدمت کانټینر کې ځای په ځای شوي ، کوم چې په ډیفالټ غیر فعال دی.
د ورته توزیعونو څخه کلیدي توپیر لکه Fedora CoreOS، CentOS/Red Hat Atomic Host د احتمالي ګواښونو څخه د سیسټم محافظت پیاوړي کولو په شرایطو کې د اعظمي امنیت چمتو کولو باندې لومړني تمرکز دی چې د OS اجزاو کې د زیانونو څخه ګټه پورته کول خورا ستونزمن کوي او د کانټینر انزوا زیاتوالی. . کانټینرونه د معیاري لینکس کرنل میکانیزمونو په کارولو سره رامینځته شوي - cgroups، namespaces او seccomp. د اضافي انزوا لپاره، توزیع SELinux په "تطبيق" حالت کې کاروي.
د روټ ویش یوازې د لوستلو لپاره نصب شوی، او د /etc ترتیباتو ویش په tmpfs کې نصب شوی او د بیا پیل کولو وروسته خپل اصلي حالت ته راستانه کیږي. په /etc ډایرکټر کې د فایلونو مستقیم بدلون، لکه /etc/resolv.conf او /etc/containerd/config.toml، ملاتړ نه کوي - د تل لپاره د ترتیباتو خوندي کولو لپاره، تاسو باید API وکاروئ یا فعالیت په جلا کانټینرونو کې حرکت وکړئ. د dm-verity ماډل په کریپټوګرافیک ډول د روټ برخې بشپړتیا تصدیق کولو لپاره کارول کیږي ، او که چیرې د بلاک وسیلې په کچه د ډیټا بدلولو هڅه وموندل شي ، سیسټم ریبوټ کیږي.
د سیسټم ډیری برخې په Rust کې لیکل شوي، کوم چې د حافظې خوندي ځانګړتیاوې وړاندې کوي ترڅو د وړیا حافظې لاسرسي، نول پوینټر ډیریفرنس، او بفر اوورونونو له امله رامینځته شوي زیانونو مخه ونیسي. کله چې د ډیفالټ لخوا رامینځته کیږي ، د تالیف حالتونه "-enable-default-pie" او "-enable-default-ssp" کارول کیږي ترڅو د اجرا وړ فایل پته ځای (PIE) تصادفي وړ کړي او د کانري بدیل له لارې د سټیک اوور فلو پروړاندې محافظت وکړي. په C/C++ کې لیکل شوي کڅوړو لپاره، بیرغونه "-Wall"، "-Werror=format-security"، "-Wp،-D_FORTIFY_SOURCE=2"، "-Wp،-D_GLIBCXX_ASSERTIONS" او "-fstack-clash" اضافي دي. فعال شوی - محافظت".
په نوې خپرونه کې:
- د کانټینر عکس راجسټری عکسونو لپاره ملاتړ اضافه شوی.
- د ځان لاسلیک شوي سندونو کارولو وړتیا اضافه کړه.
- د کوربه نوم تنظیم کولو لپاره اختیار اضافه شوی.
- د اداري کانټینر ډیفالټ نسخه تازه شوې.
- د کیوبیلټ لپاره د ټوپولوژي مینیجر پالیسي او ټوپولوژي مینیجر سکوپ ترتیبات اضافه کړل.
- د zstd الګوریتم په کارولو سره د کرنل کمپریشن لپاره ملاتړ اضافه شوی.
- په OVA (د خلاص مجازی بڼه) بڼه کې VMware ته د مجازی ماشینونو د پورته کولو وړتیا چمتو شوې.
- د توزیع نسخه aws-k8s-1.21 د Kubernetes 1.21 ملاتړ سره تازه شوی. د aws-k8s-1.16 لپاره ملاتړ بند شوی دی.
- د زنګ ژبې لپاره تازه شوي بسته نسخې او انحصار.
سرچینه: opennet.ru